动态SQL查询小技巧
来源:互联网 发布:现代家庭教育知乎 编辑:程序博客网 时间:2024/04/19 23:38
在SQL Server2005的SSRS教程中,使用报表中的动态查询引入了以下动态查询:
="SELECT c.firstname, c.lastname, e.title, d.departmentID " &
"From HumanResources.EmployeeDepartmentHistory D " &
"INNER JOIN HumanResources.Employee E " &
"ON D.EmployeeID = E.EmployeeID " &
"INNER JOIN Person.Contact C " &
"ON E.ContactID = C.ContactID " &
Iif(Parameters!Department.Value = 0, "", "WHERE D.DepartmentID = " & Parameters!Department.Value) &
"ORDER BY C.LastName"
其实可以简单地增加一个OR子句的查询,有效地禁止上述WHERE子句如果@参数为0:
WHERE D.DepartmentID = @Department OR @Department = 0
即是:
SELECT c.FirstName, c.LastName, e.Title, d.DepartmentID
FROM HumanResources.EmployeeDepartmentHistory AS d INNER JOIN
HumanResources.Employee AS e ON d.EmployeeID = e.EmployeeID INNER JOIN
Person.Contact AS c ON e.ContactID = c.ContactID
WHERE d.DepartmentID = @Department OR @Department = 0
ORDER BY c.LastName
这样会更安全,如果开发人员不小心暴露了输入参数,后一种语句更不容易受到SQL注入攻击。
在存储过程中需要返回的所有记录,这种方法也很适用。
P.S. 我在做SSRS开发时发现sql语句大小写敏感,可能是数据库配置问题。
- 动态SQL查询小技巧
- 小技巧:SQL查询
- Mybatis的sql动态查询小技巧(极客)
- emap动态SQL,动态条件配置小技巧
- sql语句的模糊查询复习及小技巧一个
- Sqlserver 查询小技巧
- SQL高级查询技巧
- SQL高级查询技巧
- SQL高级查询技巧
- sql查询技巧1
- sql各种查询技巧
- SQL技巧--------查询重复
- SQL高级查询技巧
- sql server查询技巧
- sql查询技巧
- sql各种查询技巧
- SQL查询优化技巧
- sql查询技巧
- 钩子实现子类化
- DataSet温习
- 新版本LINQPad 发布,支持"Dallas"服务
- Windows GUI 编程参考资料
- 对 Softirq,tasklet和workqueue做一个简单的总结和分析
- 动态SQL查询小技巧
- 开源GIS
- VirtualBox Host-Only 上网设置
- 转 CS打印
- inno setup执行带参数服务程序并启动服务
- 转 CS打印
- 面对90后大学生,如何挑选(嵌入式)技术人才(欢迎探讨)
- NTFS格式 读取MFT信息
- java io